據慢霧區情報,2022年01月28日,Qubit項目的QBridge遭受攻擊,損失約8000萬美金。慢霧安全團隊進行分析后以簡析的形式分享給大家。
簡要分析
1.攻擊者通過ETH上的QBridge合約進行存款操作,存款時傳入所要跨的目標鏈destinationDomainID、所要跨鏈的資產resourceID以及跨鏈資金數量與接收地址等參數構成的data。2.攻擊者指定傳入的resourceID為跨ETHToken所需要的值,但其調用的是QBridge的deposit函數而非depositETH函數,因此首先繞過了跨鏈資金數量與msg.value的檢查。deposit函數會根據resourceID從映射中取出handler地址進行充值,由于攻擊者傳入的是真實的跨ETHToken所需要的值所以可以順利調用handler合約的deposit函數。3.handler合約的deposit函數中會根據resourceID取出的所要充值的Token是否在白名單內進行檢查,由于攻擊者傳入的resourceID對應ETH,因此映射中取出的所要充值的Token為0地址,即會被認為是充值ETH而通過了白名單檢查。但deposit函數中卻并沒有對所要充值的Token地址再次進行檢查,隨后直接通過safeTransferFrom調用了所要充值的Token的transferFrom函數。4.由于所要充值的Token地址為0地址,而call調用無codesize的EOA地址時其執行結果都會為true且返回值為空,因此通過transferFrom的轉賬操作通過了safeTransferFrom的檢查,最后觸發了Deposit跨鏈充值事件。5.由于傳入的resourceID為跨ETH所需要的值,因此觸發的Deposit事件與真正充值ETH的事件相同,這讓QBridge認為攻擊者進行了ETH跨鏈,因此在BSC鏈上為攻擊者鑄造了大量的qXETHToken。攻擊者利用此qXETH憑證耗盡了Qubit的借貸池。MistTrack分析
高通CEO安蒙:5G將助力AI擴展,使數據可與其他設備及云端共享:3月25日消息,高通公司總裁兼CEO安蒙在中國發展高層論壇2023年會“推進數字經濟與實體經濟融合”專場上演講稱,5G是實現數字社會的重要基礎設施,此外,5G還將助力AI擴展,為邊緣計算和端側人工智能帶來諸多益處。
安蒙認為,數字化轉型將實現人與萬物智能互聯。這也意味著超高速、可靠連接隨時隨地、始終連接到云端,具有嵌入式處理器和人工智能(AI)的一系列設備,以及數字孿生的普及。(澎湃)[2023/3/25 13:26:29]
慢霧AML旗下MistTrack反洗錢追蹤系統分析發現,攻擊者地址(0xd01...5c7)首先從Tornado.Cash提幣獲取初始資金,隨后部署了合約,且該攻擊者地址交互的地址是Qubit、PancakeSwap和Tornado.Cash合約地址。目前資金未發生進一步轉移。慢霧AML將持續監控被盜資金的轉移,拉黑攻擊者控制的錢包地址,提醒交易所、錢包注意加強地址監控,避免相關惡意資金流入平臺。
英國加密數字資產全黨議會小組呼吁新首相明確加密貨幣態度:10月26日消息,英國加密和數字資產全黨議會小組(APPG)主席Lisa Cameron表示,在英國任命Rishi Sunak為英國新首相之后,“英國加密貨幣和數字資產公司迫切需要明確英國政府對加密貨幣政策的態度”,Cameron表示,加密貨幣企業需要能夠提供監管清晰度和業務確定性的監管。
此前報道,Rishi Sunak曾在擔任英國財政大臣事發推表示要將努力使英國成為全球加密資產中心。[2022/10/26 16:39:17]
Lido發布stETH用戶行為分析報告,95%的地址質押量少于100ETH:9月5日消息,流動性質押協議Lido日前發布stETH用戶行為分析報告。報告指出,在其質押用戶中,僅有5%巨鯨地址(質押量大于100ETH),剩余95%的地址質押量少于100ETH。
此外,絕大多數持有者使用stETH進行直接質押和被動持有,stETH的平均持有周期為225天(統計錢包余額大于1stETH的地址)。[2022/9/5 13:09:32]
總結
本次攻擊的主要原因在于在充值普通Token與nativeToken分開實現的情況下,在對白名單內的Token進行轉賬操作時未對其是否為0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通Token充值邏輯。慢霧安全團隊建議在對充值Token進行白名單檢查后仍需對充值的是否為nativeToken進行檢查。參考交易:https://etherscan.io/tx/0x478d83f2ad909c64a9a3d807b3d8399bb67a997f9721fc5580ae2c51fab92acfhttps://bscscan.com/tx/0x33628dcc2ca6cd89a96d241bdf17cdc8785cf4322dcaf2c79766c990579aea02原地址
Tags:ETHKENTOKENTOKpeth幣中文什么名稱imtokenapp下載網址SealBlock TokenTokenplace
Facebook股價周三在盤后交易中暴跌逾20%,第四季度的收益低于預期,該公司表示,第一季度面臨許多挑戰.
1900/1/1 0:00:001月20日,由Odaily星球日報和Minterest聯合主辦的“破局者——和Minterest一起探索波卡DeFi價值之路”線上直播活動順利召開.
1900/1/1 0:00:00特別感謝JustinDrake、DankradFeist、AlexObadia、Hasu和其他人對這篇文章不同版本的反饋和評論.
1900/1/1 0:00:00NFT數據日報是由Odaily星球日報與NFT數據整合平臺NFTGO.io合作的一檔欄目,旨在向NFT愛好者與投資者展示近24小時的NFT市場整體規模、交易活躍度、子領域市占比.
1900/1/1 0:00:00介紹 本文介紹了恒定速度發行銷售協議,這是一種定價機制,旨在隨著時間的推移以目標速度銷售NFT.
1900/1/1 0:00:00頭條 松下進軍“元宇宙”,發布3款VR設備松下公司當地時間3日下午宣布,正式進軍在線虛擬現實空間“元宇宙”領域.
1900/1/1 0:00:00